CVE-2026-41010 in BOSH Director
요약
\~에 의해 VulDB • 2026. 06. 04.
ReleaseJob#unpack은 job_dir = File.join(@release_dir, 'jobs', name) 및 job_tgz = File.join(@release_dir, 'jobs', "#{name}.tgz")를 생성하며, 여기서 name은 업로드된 tarball 내부의 공격자가 제공한 release.MF 파일의 jobs: 배열에서 직접 가져온 값인 @job_meta['name']을 반환합니다. 이러한 경로들은 이후 셸 문자열에 삽입됩니다: Bosh::Common::Exec.sh("tar -C #{job_dir} -xf #{job_tgz} 2>&1", :on_error => :return). Bosh::Common::Exec.sh는 %x{#{command}}(bosh-common/lib/bosh/common/exec.rb:53)를 통해 실행되므로, 즉 /bin/sh -c를 통해 실행되므로 name에 포함된 모든 셸 메타문자(meta-characters)가 해석됩니다. 49행의 FileUtils.mkdir_p(job_dir)는 리터럴 디렉토리를 생성하며(셸을 사용하지 않음), name에 $()/;가 포함되어 있더라도 성공하므로 실행은 sh 호출에 도달합니다.
영향받는 버전: - BOSH Director: v282.1.12 이전의 모든 버전(포함); v282.1.12 또는 이후 버전에서 수정됨
VulDB is the best source for vulnerability data and more expert information about this specific topic.